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© Systeme de securite a microproceseur, appli- 
cable notamment au domaine des transports 
ferroviaires, pour controler et commander des 
actionneurs (ACT) en fonction des donnees 
foumies par des capteurs (CP), caracterise en 
ce qu'il comprend au moins deux microproces- 
seurs (P1, P2) en parallele traitant la meme 
application, dont les entrees recoivent les don- 
nees (DE) des capteurs (CP) prealablement 
codees et dont les donnees de sortie sont relues 
en securite pour etre comparees aux donnees 
d'entree, et un troisieme microprocesseur de 
comparaison (P3) denomme voteur, pour 
comparer par logiciel et en securite les resultats 
caracteristiques codes (R1, R2) des deux micro- 
processeurs d'application (P1, P2) et comman- 
der en consequence un controleur dynamique 
(CD) autorisant remission des donnees de sor- 
tie (DS) vers les actionneurs (ACT). 
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La presente invention concerne un systeme de 
security a microprocesseur, applicable notammentau 
domaine des transports ferroviaires, pour contrdler et 
commander des actionneurs en fonction des donnees 
fournies par des capteurs. 5 

Dans tous les systemes a securite orientee, et en 
particulier dans les transports ferroviaires, la securi- 
te, jusqu'a une periode recente, etait realisee a partir 
de composants et de circuits satisfaisant aux regies 
de la securite intrinseque. 70 

La securite intrinseque repose sur les lois de la 
physique, par exemple la gravite, et sur un modele de 
panne exhaustif. Toute panne doit mettre le systeme 
dans un etat "restrictif", c'est-a-dire qui restreint ses 
fonctionnalites operationnelles. Dans les systemes 15 
ferroviaires, I'etat restrictif consiste generalement a 
provoquer I'arret du train. 

Depuis I'apparition des microprocesseurs, ces 
derniers sont intervenus dans la realisation de ces 
fonctions de securite. La conception de ces systemes 20 
programmes de securite se fonde sur deux principes, 
a savoir la redondance informationnelle par codage 
de rinformation, consistant a ajouter aux donnees 
fonctionnelles, des parties de controle qui permettent 
la detection des erreurs et des mauvais fonctionne- 25 
ments du systeme a securiser, et la redondance ma- 
terielle, consistant a utiliser plusieurs calculateurs en 
parallele, et a effectuer la comparaison des resultats 
au moyen de composants materiels ou logiciels. 

Dans la technique du codage de rinformation, on 30 
n'utilise qu'un seul microprocesseur, mais ce dernier 
travaille sur des informations redondees comportant 
une partiefonctionnelle etune partie codee. Ceci per- 
met d'avoir un algorithme double sur deux informa- 
tions differentes. La signature resultante de I'algo- 35 
rithme est envoyee vers un controleur exter ne real ise 
en securite intrinseque, appele controleur dynami- 
que. Si le resultat appartient au code, il est valide par 
ce controleur qui autorise les sorties de securite a se 
propager vers I'exterieur, c'est-a-dire vers les action- 40 
neurs. Dans le cas contraire, ces sorties sont invali- 
dees et mises dans teur etat restrictif. II est a noter 
que, la plupart du temps, les sorties de securite sont 
effectuees de maniere fonctionnelle puis relues et 
comparees en securite avec les valeurs de comman- 45 
de. 

Suivant la puissance du codage utilise, cette 
technique dite du processeur code permet une proba- 
bility de non detection d'erreur plus ou moins impor- 
tante, mais les inconvenients resident dans une im- 50 
portante augmentation du temps de calcul et une lour- 
deur de la programmation. En revanche, la securite 
du systeme n'impose pas de precaution technologi- 
que particuliere, ce qui permet d'utiliser n'importe 
quel microprocesseur industriel du commerce. . 55 

Dans la technique de la redondance materiel I e, la 
securite est assuree par la mise en parallele d'au 
moins deux microprocesseurs. La comparaison et 



rautorisation sont effectuees de maniere externe, 
soit par comparaison mutuelle, soit par du materiel 
realise avec des techniques de securite intrinseques. 
Le logicie! applicatif est implante sur les deux micro- 
processeurs, soit de maniere identique, soit en intro- 
duisant volontairement des dissymetries. 

Pour assurer un bon niveau de securite avec une 
telle technique, dite du biprocesseur, il faut se premu- 
nir contre les defaillances de mode commun, ce qui 
impose Tindependance totale des deux chatnes de 
traitement avec notamment des bus separes et le 
doublement de tous les materiels. II faut egalement se 
premunir contre les pannes latentes, ce qui induit 
quasi obligatoirement I'adjonction de procedures 
d'autotest et/ou de tests croises. 

La synchronisation des microprocesseurs peut 
se reveler delicate, et la securite repose sur la 
connaissance des comportements de ces micropro- 
cesseurs. Par contre, il n'y a pas de surcharge de cal- 
cul, puisque les informations ne sont pas codees. 

Toutefois, lorsque le comparateur est realise en 
securite intrinseque, la quantite de materiel de secu- 
rite, specifique de I'application, peut conduire a des 
couts prohibitifs. 

La presente invention a done pour but principal 
de remedier aux inconvenients des deux techniques 
anterieures, tout en conservant les avantages de cha- 
cune de ces techniques. 

A cet effet, la presente invention a pour objet un 
systeme de securite a microprocesseurs qui se carac- 
terise essentiellement en ce qu'il comprend au moins 
deux microprocesseurs en parallele traitant la meme 
application, dont les entrees recoivent les donnees 
des capteurs prealablement codees et dont les don- 
nees de sortie sont relues en securite pour etre 
comparees aux donnees d'entree, et un troisieme mi- 
croprocesseur de comparaison denomme voteur, 
pour comparer par logiciel et en securite les resultats 
caracteristiques codes des deux microprocesseurs 
d'application et commander en consequence un 
controleur dynamique autorisant remission des don- 
nees de sortie vers les actionneurs. 

Grace a cette configuration, dans laquelle seules 
les donnees d'entrees et de sortie sont codees, Tap- 
plication elie-meme n'a pas besoin d'etre codee du 
fait du double traitement, de sorte que le temps de 
calcul reste dans des limites raisonnables. De plus, la 
quantite de materiel de securite necessaire est redui- 
te, ce qui permet d'abaisser le cout total du systeme. 
Enfin et ainsi qu'on le verra plus clairement par la sui- 
te, un tel systeme estfacile a mettre en oeuvre et pre- 
sente en outre une grande souplesse d'utilisation. 

De preference, un decalage temporel est intro- 
duit entre les deux microprocesseurs d'application, 
ce qui permet de s'affranchir des defaillances en 
mode commun inherentes par exemple aux perturba- 
tions electromagnettques. 

De preference egalement le systeme de securite 
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selon Tinvention comporte un bus unique banalise par 
lequel transitent les informations entre les differents 
m i cro proce sseu rs . 

Ceci est rendu possible par le fait que la securite 
des informations qui transitent est assuree par coda- 5 
ge et datation. 

D'autres caracteristiques et avantages de la pre- 
sente invention ressortiront de la description qui va 
suivre, faite en regard des dessins annexes dans les- 
quels : 10 

- la figure 1 est un schema synoptique illustrant 
le fonctionnement d'un systeme de securite 
conforme a ('invention ; et 

- la figure 2 est un schema synoptique de ('archi- 
tecture physique de ce systeme de securite. 15 

D'une maniere generale, tous les systemes de 
securite, appeles egalement systemes de controle- 
commande, fonctionnent a partir de capteurs et d'ac- 
tionneurs. Us acquierent des entrees analogiques, 
convertissent ces entrees en donnees numeriques, 20 
traitent ces donnees au moyen d'algorithmes et gene- 
rent des sorties numeriques qui sont converties en 
sorties analogiques permettant de commander des 
actionneurs. 

Sur le schema de la figure 1 on trouve done tout 25 
d'abord un ou plusieurs capteurs d'entree tels que CP 
fournissant les donnees d'entree DE au systeme. 
Ces donnees d'entree DE de type analogique sont 
ensuite memorisees et codees dans un convertisseur 
analogique/numerique A/N 1t avant d'etre appliquees 30 
aux entrees de deux processeurs d'application P1 et 
P2 disposes en parallele et traitant la meme applica- 
tion. L'application elle-meme n'a pas besoin d'etre 
codee du fait du double traitement. Par contre, les 
donnees d'entree et de sortie sont codees suivant la 35 
technique du processeur code. Dans chaque proces- 
ses, les donnees sont done decodees, puis traitees. 
De plus, chaque processeur execute l'application 
avec un certain decalage temporel, ceci afin de s'af- 
franchir contre les defaillances en mode commun tel- 40 
les que celles provoquees par exemple par les pertur- 
bations electromagnetiques. 

Les resultats R1 et R2 des traitements de chaque 
processeur P1 et P2 sont enf in codes par lesdits pro- 
cesseurs avant d'etre transmis a un troisieme proces- 45 
seur de comparaison P3, egalement denomme vo- 
teur. 

Le voteur P3 effectue, par logiciel et en securite, 
la comparaison des resultats R1 et R2 en utilisant la 
technique du processeur code. Ses entrees ayant ete 50 
codees par les deux processeurs P1 et P2, I'algo- 
rithme du voteur consiste a comparer la valeurdes re- 
sultats R1 et R2. Si cette comparaison est correcte, 
le voteur emet une signature S, caracteristique de 
son bon fonctionnement, vers un contrdleur dynami- 55 
que CD realise en securite intrinseque. Ce controleur 
dynamique CD autorise alors remission generale des 
sorties fo net ion n el les telles que Sj et s^ des proces- 



seurs d'application, comme illustre en G, par I'inter- 
mediaire d'une liaison AG. On notera ici qu'en fait seu- 
les les sorties fonctionnelles de I'un des processeurs 
P1 ou P2sont effectivementuti Usees. Parailleurs, en 
cas de differences sur quelques resultats seulement, 
seules les sorties correspondantes sont inhibees par 
le voteur, comme illustre en I, par I'intermediaire de 
liaisons Al. 

Les donnees numeriques des sorties fonctionnel- 
les Sj et Sj sont alors converties en donnees de sortie 
analogiques dans un convertisseur numerique/analo- 
gique N/A afin de pouvoir commander des action- 
neurs tels que ACT. Par ailleurs, ces donnees de sor- 
tie DS, apres conversion dans un second convertis- 
seur analogique/numerique A/N 2 , sont relues et 
comparees avec les donnees numeriques initiale- 
ment calculees, comme illustre par la liaison RL, ce 
qui realise le controle en securite. 

On va maintenant decrire de maniere plus detail- 
lee le fonctionnement et les avantages de la presente 
invention, en se referant notamment a la figure 2 qui 
represente de maniere schematique ['architecture 
physique d'un systeme de securite conforme a In- 
vention. 

Sur cette figure, on retrouve tout d'abord les trois 
processeurs P1, P2 et P3 qui sont relies a un bus 
commun B, banalise et standardise, par lequel tran- 
sitent toutes les informations entre les differents mo- 
dules composant le systeme de securite. En effet, ce 
bus n'a aucune contrainte de securite particuliere, 
puisque la securite des informations qui y transitent 
est assuree par codage et datation. 

On trouve ensuite un coupleur d'entrees/sorties 
E/S par lequel transitent les donnees d'entree DE et 
les donnees de sortie DS. II est en effet indispensable 
que les entrees soient acquises par une seule entite, 
afin de s'assurer que les processeurs d'application 
P1 et P2 effectuent leur traitement sur les memes en- 
trees. Ces entrees sont acquises sous forme codee, 
selon la technique du processeur code, etmises a dis- 
position des processeurs d'application P1 et P2 dans 
une memoire double acces MDAreliee au bus B. Pen- 
dant toute la phase de transmission (coupleur, bus, 
liaison serie) les donnees de securite sont protegees 
par codage. 

Lorsque les donnees ont ete acquises, les deux 
processeurs d'application P1 et P2 sont actives avec 
un certain decalage temporel. Chaque processeur va 
lire dans la memoire double acces MDA les entrees 
acquises et les valide une a une. Une fois validees, 
ces entrees sont utilisees sous leur forme non codee 
pour le traitement. A la fin de I'execution de l'applica- 
tion chaque processeur calcule ses sorties et prepare 
ses resultats qui sont codes selon la technique du 
processeur code. 

Les sorties physiques sont effectuees par un 
seul des deux processeurs P1 ou P2, par I'interme- 
diatre du coupleur d'entrees/sorties E/S, tandis que 
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les resultats R1 et R2 des traitements de chaque pro- 
cesses sont mis a disposition du voteur, constitue 
par ie troisieme processeur P3, dans la memoire dou- 
ble acces MDA sous forme codee et datee. De plus, 
chacun des processeurs P1 et P2 execute ses pro- 
pres autotests dont les resultats sont integres dans 
les resultats R1 et R2 fournis au voteur P3. 

La securite de ['architecture biprocesseur reside 
principalementdans ('absence de mode commun en- 
tre P1 et P2. Du fait que la comparaison s'effectue sur 
les sorties, les concepteurs disposent d'une grande 
flexibilite dans la realisation des modules P1 et P2. 
Cela peut aller de deux logiciels identiques sur deux 
cartes identiques jusqu'a deux logiciels differents sur 
deux materiels differents. 

Le voteur P3 acquiert les resultats R1 de P1 et R2 
de P2 et les compare deux a deux en utilisant les ope- 
rations adequates sur les donnees codees selon la 
technique du processseur code. La realisation de la 
fonction comparaison parlogiciel, permet d'effectuer 
des controles de coherence sur les sorties et/ou des 
f iltrages sur chaque sortie. Les concepteurs ont done 
une grande flexibilite dans la realisation du voteur et 
peuvent realiser I'inhibition partielle des sorties, ce 
qui permet des reconfigurations sur ces sorties 
quand elles sont doublees. De plus, le voteur controle 
en securite le bon fonctionnement de la structure bi- 
processeur, e'est-a-dire le decalage temporel et les 
resultats des autotests. 

Le logiciel de comparaison du voteur P3 est im- 
plante sur une carte electronique processeur qui peut 
etre identique aux cartes de la structure biproces- 
seur, et la securite de la fonction de comparaison est 
effectuee en utilisant la technique du codage de Tin- 
formation. La validation de la fonction est realisee par 
remission de la signature S, calculee par le voteur et 
caracteristique de son bon fonctionnement, vers le 
controleur dynamique CD. De plus, cette signature 
est dynamisee par une information dite de rafralchis- 
sement qui evolue dans le temps. Le controleur dyna- 
mique CD, realise en securite intrinseque, va done 
valider, d'une part le bon rafraTchissement de la si- 
gnature, et d'autre part la signature elle-meme, ce qui 
permet de garantir le bon fonctionnement du voteur. 

Le controleur dynamique CD autorise alors 
remission generale des sorties par ['intermedia ire 
d'un module A relie au bus B, ce module A autorisant 
remission individuelle des sorties en fonction des in- 
formations fournies par le voteur. Autrement dit, en 
cas de d6saccord partiel sur les resultats R1 et R2, 
seules les sorties differentes sont inhibees ou mises 
a I'etat restrictif. En cas de mauvais fonctionnement 
du voteur, toutes les sorties de Implication sont bien 
entendu mises dans leur etat restrictif. Si necessaire, 
af in d'ameiiorer la disponibtlite, le voteur peut luUme- 
me etre redonde. 

On voit done en definitive que le systeme de se- 
curite conforme a Tin vent ion presente une t res gran- 



de souplesse d'utilisation et permet de satisfaire aux 
exigences de securite voulues avec un cout et un 
temps de calcul raisonnables. 

On notera en particulier qu'une telle architecture 

5 permet d'etendre facilement ('invention a une struc- 
ture plus complexe comportant plus de deux proces- 
seurs d'application. Le logiciel du voteur peut alors, 
sans materiel supplemental, assurer une logique 
majoritaire de n processeurs parmi p. Autrement dit, 

w n processeurs au moins parmi les p processeurs doi- 
vent avoir les memes resultats pour que les sorties de 
securite soient validees. II va de soi par ailleurs que 
dans ce cas le logiciel du voteur peut etre implante 
sur Tun quelconque des processeurs d'application. 

15 

Revendications 

1. Systeme de securite a microprocesseur, applica- 
20 ble notamment au domaine des transports ferro- 

viaires, pour controler et commander des action- 
neurs (ACT) en fonction des donnees fournies 
par des capteurs (CP), caracterise en ce qu'il 
comprend au moins deux microprocesseurs (P1, 

25 P2) en parallele traitant la meme application, 

dont les entrees recoivent les donnees (DE) des 
capteurs (CP) prealablement codees et dont les 
donnees de sortie sont relues en securite pour 
etre comparees aux donnees d'entree, et un troi- 

30 sieme microprocesseur de comparaison (P3) de- 

nomme voteur, pour comparer par logiciel et en 
securite les resultats caracteristiques codes (R1, 
R2) des deux microprocesseurs d'application 
(P1, P2) et commander en consequence un 

35 controleur dynamique (CD) autorisant remission 

des donnees de sortie (DS) vers les actionneurs 
(ACT). 

2. Systeme de securite selon la revendication 1 , ca- 
40 racterise en ce qu'un decalage temporel est intro- 

duit entre les deux .microprocesseurs d'applica- 
tion (P1,P2). 

3. Systeme de securite selon la revendication 1 ou 
45 2, caracterise en ce qu'il comporte un bus unique 

banalise (B) parlequel transitentles informations 
entre les differents microprocesseurs (P1, P2, 
P3). 

so 4. Systeme de securite selon I'une quelconque des 
revendications 1 a 3, caracterise en ce que le vo- 
teur (P3) comporte un algorithme permettant 
d'effectuer, en plus de la comparaison des resul- 
tats (R1 , R2) des deux microprocesseurs d'appli- 

55 cation (P1, P2), des filtragesetdes contr6les de 

coherence sur les differentes sorties. 

5. Systeme de securite selon la revendication 4, ca- 
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racterise en ce que I'algorithme du voteur (P3) 
permet de realiser une inhibition partielle des sor- 
ties en cas de desaccord sur certains resuttats 
seulement. 

6. Systeme de securite selon Tune quelconque des 
revendications 1 a 5, caracterise en ce qu'il 
comprend plus de deux processeurs duplica- 
tion (P1 , P2), le voteur (P3) assurant une logique 
majoritaitre de n processeurs parmi p. 

7. Systeme de securite selon la revendication 6, ca- 
racterise en ce que te logiciel du voteur est im- 
plante sur I'un quelconque des processeurs d'ap- 
plication. 75 
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